基层单位信息系统安全等级保护三级管理制度-管理体系架构

信息系统安全管理体系架构

第一章 总则

第一条 为加强和规范我单位信息系统安全管理体系建设工作，保证信息的机密性、完整性和可用性，实现信息系统的安全，提高信息系统安全管理体系的效率，依据国家有关法律、法规的要求，制定本文件。

第二条 本文件适用于我单位信息系统安全管理体系的建立、实施、运行、监视、评审、保持和改进，指导信息系统安全管理体系的制定和使用。

第三条 我单位信息系统安全取决于技术和管理两个要素。安全管理是安全技术发挥功效的重要保障和支撑。安全管理体系包括3个层次的管理文件，第一层：总体文件，第二层：管理规定，第三层：操作规程（包括实用表格），内容覆盖信息系统生命周期模型的计划组织、开发采购、实施交付、运行维护、废弃全部五个阶段。

第四条 安全管理体系的建立与完善过程采取PDCA模式。其中P为策划过程，根据信息系统安全等级保护（三级）管理的要求和方针，草拟、评审、发布管理文件；D为实施过程，按照管理规定和操作规程对信息系统实施安全管理；C为检查过程，根据信息安全的要求，对实施过程和信息安全进行监控和测量，并报告结果；A为改进过程，根据检查结果采取措施，以持续改进管理体系。

第五条 本文件的编制参照了以下国家的标准和文件： （一）《中华人民共和国计算机信息系统安全保护条例》 （二）《信息系统安全等级保护基本要求》（GB/T 22239-2008） （三）《信息系统安全管理要求》（GB/T 20269—2006） （四）《信息安全管理体系要求》（GB/T 22080—2008）

第二章 总体文件

第六条 总体文件是一切信息安全保障活动的基础和出发点，指导我单位信息安全保障体系的开发和实施，为信息安全建设和实施指明方向，通过定义一套规则来规范信息安全体系的建设、运行和管理。

1

第七条 总体文件包括2个文件： 《信息系统安全总体策略》、 《信息系统安全管理体系架构》。

第八条 《信息系统安全总体策略》目的、作用

目的与作用：规范和管理我单位信息系统安全工作，提高信息系统整体安全防护水平，实现信息安全的可控、能控、在控；为我单位信息系统安全管理提供一个总体的策略性架构文件，指导信息系统的安全体系的建立，以实现统一的安全策略管理，提高整体的网络与信息安全水平，确保安全控制措施落实到位，保障网络通信畅通和业务系统的正常运营；对信息系统全生命周期过程中所有的信息安全保障工作内容进行定义，是一切信息安全活动的出发点和核心。

第九条 《信息系统安全管理体系架构》目的、作用

目的与作用：规范和管理我单位信息系统安全管理体系建设工作，提高信息系统安全管理制度的制定和运用效率，提高信息系统安全管理体系的建立、实施、运行、监视、评审、保持和改进效率。

第三章 管理规定

第十条 管理规定是在策略指导下编写的下层文件，用来具体规范人员行为，明确任务责任。

第十一条 管理规定包括：

《信息系统安全管理制度管理规定》、 《信息系统安全管理机构管理规定》、 《信息系统安全人员及培训管理规定》、 《信息系统安全风险管理规定》、 《信息系统环境和资源管理管理规定》、 《信息系统运行和维护管理规定》、 《信息系统业务连续性管理规定》、 《信息系统安全监督和检查管理规定》、 《信息系统生存周期管理规定》。

第十二条 《信息系统安全管理制度管理规定》目的、作用

目的与作用：规范和管理我单位机关电子政务计算机信息系统安全管理制度

2

的制定、论证、审定、发布、评审和修订工作。

第十三条 《信息系统安全管理机构管理规定》目的、作用

目的与作用：规范和管理信息系统安全管理机构的设立、职能的确定、人员的配备等工作。

第十四条 《信息系统安全人员及培训管理规定》目的、作用

目的与作用：规范和管理信息系统安全人员及培训管理工作，包括人员录用、人员离岗、人员考核与审查、教育和培训、第三方人员的管理工作。

第十五条 《信息系统安全风险管理规定》目的、作用

目的与作用：规范和管理我单位电子政务信息系统安全风险的管理工作，指导风险识别和分析、风险控制、基于风险的决策、风险评估等管理工作。

第十六条 《信息系统环境和资源管理管理规定》目的、作用

目的与作用：规范和管理信息系统安全管理人员和技术人员进行信息系统环境安全管理和资源管理工作，包括机房安全管理、办公环境安全管理、资产清单管理、资产的分类与标识、介质管理、设备管理。

第十七条 《信息系统运行和维护管理规定》目的、作用

目的与作用：规范和管理信息系统安全管理人员和技术人员进行信息系统运行和维护管理工作，包括用户管理、运行操作管理、运行维护管理、外包服务管理、安全机制保障、安全集中管理。

第十八条 《信息系统业务连续性管理规定》目的、作用

目的与作用：规范和管理信息系统安全管理人员和技术人员进行业务连续性管理工作，包括备份与恢复、安全事件处理、应急处理。

第十九条 《信息系统安全监督和检查管理规定》目的、作用

目的与作用：规范和管理信息系统安全管理人员和技术人员进行政务信息系统安全监督和检查管理工作，包括合法性检查、依从性检查、审计及监管控制、责任认定等工作。

第二十条 《信息系统生存周期管理规定》目的、作用

目的与作用：规范和管理信息系统安全管理人员和技术人员进行信息系统生存周期管理工作，包括规划和立项管理、建设过程管理、系统启用和终止管理等工作。

3

第四章 附则

第二十一条 本规定由单位信息安全领导小组负责解释。 第二十二条 本规定自发布之日起施行。

4